第四章、维护办公环境网络.doc

第四章 实验报告 实验时间： 2010.08.13 实验人： 实验名称： 一、收集网络信息； 二、ARP 协议的应用案例； 实验任务和目标： 一、1.获取网段和网关信息 2.获取主机名称和IP地址的对应关系 3.获取IP地址和MAC地址的对应关系 4.通过局域网查看工具（LanSee）完成上述任务 二、1.设置主机A上的网络执法官，攻击主机B，使主机B无法访问互联网 2.在主机B静态绑定网关的IP/MAC地址 3.主机A更改网络执法官的设置，攻击网关，使主机B 无法访问互联网 4.安装并配置ARP防火墙 实验环境描述： 一、一、公司新招一名网络管理员，到岗后发现前一任网管没有留下任何资料，整理网络资料以便于维护管理网络。 二、主机A使用网络执法官，限制主机B与网关通信 网管员在主机B绑定网关的IP-MAC条目，通信恢复 主机A更改网络执法官设置，主机B再次无法与网关通信 一、收集网络信息； 实验过程； 使用Lansee来查看MAC地址 二、ARP 协议的应用案例； 开三台机子，一个2003真IP为172.16.5.24；一个2003虚为172.16.5.50；一个XP为172.16.5.52； 在172.16.5.24上安装网络执法官； 开始进行ARP欺骗攻击； Ping 网内中的任何一个IP地址； 查看MAC地址是不是真实的； 以上ARP缓存中的MAC与网络执法官中的MAC地址不同，则主机中的MAC地址为假的；已经体现出来了ARP欺骗了； 选择以上的选项就可以对网内的任何机子进行欺骗； 172.6.5.52上安装ARP防火墙；看看可不可防止ARP攻击； 安装好ARP防火墙；进行攻击； 以上防止了ARP攻击； 停止一下ARP防火墙； 以上又体现出来了ARP攻击了；开启再看看； 下面是在主机上绑定对方MAC地址； 以上攻击不成功了。 总结和分析： 一、当出现IP地址冲突时，网络管理员需要做两件事： 第一，恢复员工主机的正常通信； 第二，查找私自配置IP地址的主机。 首先，恢复员工主机正常通信：使该计算机重新获得IP定即可。 然后，查找私自更改IP地址的主机： 1、IP地址冲突主机原来使用的IP地址就是私自更改IP主机正使用IP地址； 2、使用ping命令，ping上述IP地址； 3、使用arp –a命令显示ARP缓存，从中找出源IP地址对应的MAC地址； 4、找到此MAC地址的主机； 需要注意：有时擅自更改IP地址的主机安装有防火墙或ARP防火墙等软件，这些软件使得主机不回复除网关设备外的ARP请求。导致除网关外无法获得该主机的ARP应答，这时就需要从网关查找该主机的MAC地址。 在宽带路由器上查看ARP条目选择“IP与MAC绑定→ARP映射表”来查看ARP条目，可以获得更改IP地址的主机MAC地址。 如果网关使用Cisco路由器等设备可以通过命令来显示ARP条目，从而查找MAC地址。 知道问题主机的MAC地址后，可以通过查看主机相关信息记录表找到问题主机。 二、ARP协议原理： (1）主机PC1想发送数据给主机PC2，它检查自己的ARP缓存表。ARP缓存表是主机存储在内存中的一个IP地址和MAC地址一一对应的表。在Windows操作系统中可以使用arp –a来显示ARP缓存表。 如果要查找的MAC地址不在表中，ARP会发送一个广播，从而发现目的地的MAC地址。 经查看PC1的ARP缓存表中没有发现PC2的MAC地址，这时，PC1会初始化ARP请求过程（发送一个ARP请求广播），用于发现目标的MAC地址。 (2）主机PC1发送ARP请求信息，ARP请求是目的地址为MAC广播地址（FF-FF-FF-FF-FF-FF）的MAC地址广播帧，从而保证所有的设备都能够收到该请求。在ARP请求信息中包好PC1的IP地址和MAC地址。 (3）交换机收到广播地址后，发现为MAC地址广播，所以将数据帧从即除了接收口之外的所有接口转发出去。主机接收到数据帧后，进行IP地址的比较，如果目标IP地址与自己的IP地址不同，则其会丢弃这个数据包，而只有PC2这台主机会在自己的ARP表中缓存PC1的IP地址和MAC地址的对应关系，同时发送一个ARP应答，来告诉PC1自己的MAC地址（这个数据帧是单播）。 (4）PC1在接收到这个回应的数据帧后，在自己的ARP表中添加PC2的IP地址和MAC地址的对应关系。在这个过程中，Switch交换机已经学习到了PC1和PC2的MAC地址，之后传输数据时PC1和PC2之间使用单播方式。 需要注意：ARP请求为广播，而ARP应答为单播。 三、ARP攻击和ARP欺骗的原理： 首先明确ARP攻击发送的是ARP应答，但是ARP应答中的MAC地址为虚假地址，所以在其他主机想要进行通信时，会